События

Описан новый метод обхода Windows Defender

Описан новый метод обхода Windows Defender

Исследователи из компании CyberArk обнаружили новый метод обхода Windows Defender – защитного решения, встроенного в последние версии ОС Windows. Новая техника, получившая название Illusion Gap, основана на использовании двух методов – социальной инженерии и подконтрольного атакующим SMB-сервера.

Атака Illusion Gap эксплуатирует недочет процесса сканирования Windows Defender, в частности, то, как отсканированные файлы хранятся в SMB каталоге перед исполнением. Для успешной атаки злоумышленнику необходимо убедить жертву загрузить и исполнить файл с подконтрольного атакующему SMB-сервера. Проблема возникает, когда пользователь открывает вредоносный файл. По умолчанию Windows запрашивает с SMB-сервера копию файла для создания процесса его исполнения, в то же время Windows Defender также запрашивает копию файла для сканирования.

SMB-серверы способны различать эти два запроса и именно в этом заключается проблема, поскольку злоумышленники могут сконфигурировать свой SMB-сервер таким образом, чтобы он отправлял два файла – вредоносный и безвредный. Таким образом злоумышленник может отправить вредоносный файл системному загрузчику Windows и «чистый» - Windows Defender. После того, как файл пройдет проверку антивируса, загрузчик исполнит вредоносный файл.

Специалисты проинформировали Microsoft о проблеме, однако компания не сочла ее уязвимостью. Как пояснил глава исследовательского отдела CyberArk Коби Бен Наим (Kobi Ben Naim), задача Windows Defender – находить и проверять вредоносные файлы. Данная уязвимость позволяет обойти Защитник, так что он не справляется со своей работой, подчеркнул Наим.По словам исследователя, способов предотвратить эксплуатацию уязвимости, помимо установки дополнительных антивирусов и защитных решений, пока нет.

Эксперты не исключают, что данной проблеме могут быть подвержены другие антивирусы, однако дополнительных исследований в этой области они не проводили.

Исследователи опубликовали видео с демонстрацией атаки Illusion Gap

Источник

Автор: Сергей Куприянов
28.09.2017 (19:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.